gMSA (Group Managed Service Account) son las siglas de Cuentas de Grupo de Servicio Gestionadas. La diferencia con MSA, o Cuenta de Servicio Gestionada, es básicamente que las MSA se pueden utilizar únicamente en una máquina en el dominio, mientras que las gMSA se pueden utilizar en múltiples máquinas en el dominio.

Estas Cuentas de Servicio Gestionadas nos permiten la ejecución de servicios permitiendo la alta disponibilidad y la redundancia así como el control de los permisos de ejecución. Los servicios se ejecutan con permisos que pueden superar a los de un administrador local.

Existen tres niveles de privilegios de ejecución de los servicios en un equipo:

  1. Local System: Esta cuenta local es la que tiene privilegios superiores a la de un administrador local. Encontramos estos privilegios en servicios como «Administrador de conexión de acceso remoto», «Administrador de credenciales», «Administrador de cuentas de seguridad», «Cola de impresión», «Conexiones de red», entre otros.
    En un controlador de dominio se encuentran estos privilegios en servicios como «Servicios de Dominio de Directorio Activo», «DFS Replicación», «Servidor DNS», «Sistema de encriptación de archivos», «Centro de Distribución de claves de Kerveros», entre otros.
  2. Network Service: Esta cuenta local es la que tiene un nivel de permisos intermedio entre la Local System y la Local Service, aunque es superior a la de un usuario local. Con esta cuenta encontramos servicios como «Agente de directiva IPsec», «Agente de Protección de acceso a redes», «Cliente DNS», «Servicios de Escritorio Remoto», entre otros.
    En un controlador de dominio se encuentran con estos privilegios servicios como «Protección de software», «Servicios criptográficos», «Coordinador de Transacciones Distribuidas», entre otros.
  3. Local Service: Es la cuenta local con mejos privilegios semejante a la de un usuario local. Con estos privilegios encontramos servicios como «Audio de Windows», «Captura SNMP», «Cliente DHCP», «Hora de Windows», «Registro remoto», entre otros.
    En un controlador de dominio encontramos servicios como «Smart Card», «Actualizador automático de la zona horaria», «Registro de rendimiento y alertas», entre otros.

Como se indicó anteriormente, estos permisos no son válidos para ejecución en alta disponibilidad y redundancia.

Otro tema importante es la gestión del cambio de contraseña automático de la cuenta.
Habitualmente, para las cuentas de usuario en un dominio, es necesario cambiar la contraseña cada 42 días por defecto. Esta acción no requiere atención de ningún administrador en las cuentas de servicio gestionada ya que se hace automáticamente.

En el vídeo se menciona el Sistema de Distribución de Llaves (KDS). Es éste el que se encarga de la función del cambio de contraseñas y necesita una primera Llave Raíz.

En el vídeo tambien se menciona el programa sc.exe, con el que podemos realizar un montón de acciones con los servicios como por ejemplo listar los servicios según su estado, su tipo, su grupo, o crear servicios, cambiar su configuración, iniciarlos, pararlos, borrarlos, entre otras acciones.

Comandos utilizados

A continuación explico los comandos utilizados en el video:

Get-KdsRootKey
Para saber si tenemos creada la clave raíz KDS

Add-KdsRootKey -EffectiveTime (Get-Date).AddHours(-10)
Para crear la clave raíz de KDS y que sea efectiva en el momento actual

New-ADServiceAccount -Name <NombreDeMSA> -DNSHostName <FQDNhost> -PrincipalsAllowedToRetrieveManagedPassword <Equipo1$>,<Equipo2$>,<Equipo3$>
Para crear la cuenta de servicio <NombreDeMSA> en <FQDNhost> donde va a ser utilizada en <Equipo1>, <Equipo2> y <Equipo3>

Get-ADServiceAccount -Filter *
Para listar las cuentas de servicio gestionadas (todas)

Install-ADServiceAccount -Identity <NombreDeMSA$>
Comando utilizado en los equipos donde se va a utilizar la cuenta de servicio gestionada para su instalación.

sc.exe config <NombreDeServicio> obj=»<dominio>\<NombreDeMSA$>»
Para cambiar la configuración de inicio de sesión del servicio con la cuenta de servicio gestionada. Se puede ver el <NombreDeServicio> al que hacemos mención en las propiedades de un servicio.

Enlaces externos

Otro ejemplo de utilización de una gMSA (inglés)
https://blogs.technet.microsoft.com/askpfeplat/2012/12/16/windows-server-2012-group-managed-service-accounts/

Explicación sobre la creación de la clave raíz KDS
https://docs.microsoft.com/es-es/windows-server/security/group-managed-service-accounts/create-the-key-distribution-services-kds-root-key

Autor: Alberto Calvo
Curso: Microsoft MCSA Windows Server 2016 + Microsoft MCSE Cloud Platform & Infrastructure
Centro: Tajamar
Año académico: 2017-2018

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.